Журнал "Information Security/ Информационная безопасность" #6, 2024

36 • СПЕЦПРОЕКТ функционал и производительность как на виртуальных маши- нах, так и на аппаратных платформах. Стас Румянцев, InfoWatch: Мы предоставляем оборудо- вание и поддержку инженеров на месяц, чтобы заказчик мог полноценно протестировать наш продукт в своей инфраструк- туре. При необходимости мы настраиваем интеграции со сто- ронними решениями: двухфакторной аутентификацией, песоч- ницей, SIEM и др. В большинстве случаев месяца достаточно, чтобы оценить, насколько решение соответствует потребностям заказчика и его задачам. Кирилл Прямов, UserGate: Пилотирование – это, без- условно, инвестиция. И к нему нужно относиться именно так. Если компания приняла решение осуществить пилотный проект на вашем решении, значит ее намерения серьезны, у вас есть шанс сделать так, чтобы оно осталось там навсегда. Ограниче- ния по времени могут быть связаны не с тем, что на это обору- дование есть большой спрос, а с тем, что у производителя его нет в наличии в достаточном количестве. Или оно выпущено ограниченным тиражом. Можно ли доверить такому произво- дителю свою безопасность, если речь идет о серьезном проекте, – вопрос, который каждый директор по ИБ решает для себя сам. Алексеи Прокопчук, Смарт-Софт: Лучший вариант тестирования оборудования для предприятия – на собственной инфраструктуре и своем сетевом трафике. Такая возможность есть, в том числе, при поставке Traffic Inspector Next Generation как программного обеспечения, что позволяет отказаться от затрат на аппаратные платформы. У нас было успешное внедрение через тестирование с крупным химическим пред- приятием: заказчик провел полное функциональное тестиро- вание продукта с участием техподдержки компании "Смарт- Софт". Андрей Ларшин, RED Security: Настойчивые попытки создать универсальные методики пилотирования, стандарти- зованные смеси трафика для испытаний NGFW так и не привели к успеху. Клиентов мало интересует "сферический конь в вакууме". Рынок возвращается к старой доброй практике: если вы крупный заказчик – пилотируйте решение сами в реальной работе; если нет времени на тесты – используйте мнение авторитетных клиентов и специалистов. Если вендор не дает достаточно времени на пилот и не обеспечивает кон- сультационную поддержку, не выбирайте его решение. Алексей Громов, Корбит: Наша продуктовая линейка основана на стандартном серверном оборудовании, обеспечи- вающем экономически эффективное масштабирование пилот- ных проектов. Дополнительно предлагаются варианты пилотного внедрения с использованием образов ESXi и KVM, как для узлов безопасности сети, так и для центра управления сетью с внешним подключением к песочницам и SIEM-системам партнеров. Таким образом мы обеспечиваем клиентам мини- мизацию затрат на пилотирование, внедрение и обслуживание нашего решения. Проблема 3. Диагностика и мониторинг Конфигурации и настройки NGFW, особенно списки контроля доступа (ACL), нередко превращаются в хаос. Количе- ство записей растет до таких масштабов, что управление ими становится настоя- щим испытанием: ошибки конфигурации учащаются, а поиск нужного правила превращается в затяжной квест. К тому же, изменение одного правила может неожиданно создать проблемы в других сегментах сети, что добавляет головной боли. Заказчикам все чаще требуются централизованное управление и аудит ACL, чтобы упростить работу и сохранить контроль над всеми устрой- ствами в инфраструктуре. Но эта функциональность, увы, как вишенка на торте, которую выклады- вают, когда сам торт уже полностью готов, – и то, если останется место. Диагностика, кажется, всегда оказыва- ется в хвосте приоритетов, а заказчики вынуждены изобретать велосипед: либо подгонять под свои нужды сторонние инструменты, иногда для этого вообще не предназначенные, либо городить собственные решения. Вроде бы с мониторингом еще можно выкрутиться – отдать его в SIEM, но, например, за утилизацию ресурсов он отвечать не станет. Это вообще не его профиль. А уж про диагностику и вовсе говорить страшно. Остается вопрос: как лучше органи- зовать управление в таких условиях, чтобы упростить их администрирование и минимизировать риски ошибок? Дмитрий Лебедев, Код Безопасности: В крупных предприятиях используются десятки сетевых устройств. За каждым устройством необходим контроль. И в случае с NGFW этот контроль заключается в двух задачах: аудит конфигурации устройств и централизованное внесение изменений в конфи- гурацию. На NGFW могут быть настроены сотни и тысячи правил МСЭ. 1. Какие-то правила со временем устаревают: два года назад предоставили доступ подрядчику, теперь это правило неактуально, но оно может до сих пор существовать в конфи- гурации. 2. Другие правила могут конфликтовать между собой: пять лет назад руководство решило всем разрешить доступ в Интернет, месяц назад получили распоряжение ограничить этот доступ для определенных пользователей по определенным протоколам. Создали новое правило, но почему-то все пользо- ватели всё также ходят в Интернет без ограничений. Очевидно – есть проблема при конфигурировании. Такие проблемы можно увидеть через выделенные системы контроля конфигураций. Кирилл Прямов, UserGate: Для централизованного управления лучше использовать специальные инструменты, которые предлагает производитель. Идеально, если портфель разработчика включает набор собственных продуктов и услуг для мониторинга и диагностики, либо его решения открыты для подключения сторонних сервисов. В решениях UserGate реализованы оба этих подхода. Стас Румянцев, InfoWatch: В нашем NGFW правила применяются к сетевым зонам, что упрощает управление и исключает необходимость создания множества правил для конкретных IP-адресов. Для контроля утилизации ресурсов и сетевых интерфейсов реализована интеграция с внешними системами мониторинга. Для удобства управления парком NGFW предусмотрен отдельный продукт – Management Console, который помогает централизованно управлять устройствами и следить за их состоянием. Алексей Громов, Корбит: При проектировании архи- тектуры центра управления сетью мы уделили особое внимание средствам диагностики и анализа правил фильтрации, которые предоставят администратору статистику по правилам и помогут в выявлении аномалий. В III квартале 2025 г. планируется внедрение в ЦУС дополнительной функции анализа аномалий следующих типов: затемнение, обобщение, корреляция и избы- точность. Реализация данных функций обеспечит администра- тору возможность выявления аномалий как в глобальных, так и в локальных секциях правил фильтрации с последующим удалением некорректных правил. Комментарии экспертов